入侵检测的常见模式

admin 2024年8月1日10:59:10评论9 views字数 877阅读2分55秒阅读模式

前言

在安全领域的人一定都听过入侵检测,那么本篇文章就来看看入侵检测一般都是通过什么模式来进行检测的。

实际上入侵检测最常见的模式就是特征检测与异常检测两种模式。

特征检测

特征检测是一种确定性的描述方法,对已知的攻击或入侵方式进行描述,形成相应的事件模式。通过比较网络或系统活动与已知的攻击特征(也称为签名)来发现攻击。例如日志中出现了大量的ssh登录失败的告警,那么我们就认为可能存在ssh暴力破解;还有某病毒会在/tmp目录下创建特定的文件等等特征。特征检测被大量的使用在各个检测场景中。

优点:低误报率,可以确认发现已知攻击

缺点:无法检测新的攻击方式

例如下面的一些特征

入侵检测的常见模式

异常检测

异常检测是一种定义一个主体的正常行为,那么不属于正常行为的操作可能就是有问题。

这种方法通过建立正常活动的活动简档,‌并将当前主体的活动状况与活动简档进行比较。‌当违反其统计模型时,‌认为该活动可能是入侵行为。‌

优点:可以发现新的攻击方式

缺点:建立和更新活动简档以及设计统计模型比较困难,误报率高

前一段时间看了一个微隔离的产品,用的就是这种思想,首先通过客户端统计各个主机之间的联系,建立正常的活动档案,然后出现预期以外的连接就认为是异常的。

其它的检测模式还有行为检测,机器学习检测,混合检测等等

常见的入侵检测产品

  1. 网络入侵检测系统(NIDS)

    NIDS是一种监视整个网络流量的IDPS。它可以发现网络攻击,例如拒绝服务攻击,扫描,或者僵尸网络。

2.主机入侵检测系统(HIDS)

   HIDS是一种监视单个主机(例如一台服务器或工作站)的IDPS。它可以发现主机级别的攻击,例如恶意软件,特洛伊木马,或者权限提升。

3.网络入侵防御系统(NIPS)

    NIPS不仅可以发现网络攻击,还可以阻止它们。例如,如果NIPS发现一个拒绝服务攻击,它可以阻止攻击流量,保护你的网络。

4.主机入侵防御系统(HIPS)

    HIPS不仅可以发现主机级别的攻击,还可以阻止它们。例如,如果HIPS发现一个恶意软件,它可以阻止恶意软件的行为,保护你的主机。

原文始发于微信公众号(信安路漫漫):入侵检测的常见模式

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月1日10:59:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   入侵检测的常见模式https://cn-sec.com/archives/2993547.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息